软件供应链安全检测服务平台使用体验

• 认识软件供应链安全检测

7月24日，重庆网络与数据安全产业大会软件供应链安全分会在渝召开，会议由中共重庆市委网络安全和信息化委员会办公室指导，重庆璧山区人民政府、奇安信科技集团股份有限公司、中国信息通信研究院西部分院联合主办。

本场软件供应链安全分会以“护航数字生态，安全从源头做起”为主题，邀请了高校、研究院所、安全机构等业界专家，共同研讨软件供应链安全行业发展趋势及产业生态建设，赋能数字经济产业转型升级。

在数字中国建设的大背景下，数字技术广泛应用。层层复用和嵌套封装的代码组件，有效支撑和推动了数字业务建设，但也让软件供应链环节更加复杂，安全隐患日趋凸显。软件供应链安全风险普遍存在于智慧城市、教育、医疗、交通、政务、智慧工厂、智能汽车等各种场景，需要软件的地方都可能存在软件供应链安全风险。尽快加强软件供应链安全能力建设，已经成为软件开发单位、软件使用单位和安全主管部门的共识。

会上，发布了软件供应链安全检测服务平台，是一款面向全国用户的互联网产品。由用户自助式进行软件供应链安全检测，并且无需上传源代码，最大限度保护了用户的知识产权。

• 试用

首先打开平台网址：https://www.sscssc.cn，首页有2条醒目的提示：1、注册用户限免使用。2、无需上传源代码。

 

       首页的帮助中心有流程介绍，也强调了无需上传源代码。知识产权保护这方面，宣传得很到位。

注册完成后，登录进入检测服务页面，弹出针对新用户的使用提示。需要先创建项目，然后在项目中发起分析任务。而发起任务的时候，只能选择用特征文件进行检测。我上传了源代码文件，提示文件无效，确实是把知识产权保护贯彻到底了。

于是先下载平台自研的软件成分提取工具，然后使用工具扫描源代码目录，自动提取开源组件的特征，包括组件名称、版本号等。不到1分钟，特征文件就提取成功了。

将特征文件上传后，提示要扣除次数1次。次数需要付费购买，但是新注册用户直接赠送了10次，平台的推广非常大方。

发起分析后，等了几分钟，分析就完成了。查看结果，竟然这么多漏洞，超危、高危好几十个。

       再点进去看漏洞的详情，很详细，还给出了修复方案。仔细一看，这是2018年的漏洞了，当时根本没有发现。后来漏洞修复后，也没有关注过，所以这个漏洞就一直存在着。

       最后，平台还能生成3种格式的书面报告，可以作为正式的汇报使用。

• 检测的价值

通过对软件供应链安全检测服务平台的试用，不难看出以下几点价值：

1、提高了安全意识。使用软件供应链安全检测服务平台可以让开发团队更加重视软件安全问题，提高安全意识，从而在开发过程中更加注重安全措施。

2、减少了安全漏洞。软件供应链安全检测服务平台可以帮助开发团队在代码编写、组件使用、配置管理等环节中发现并修复安全漏洞，降低安全风险。

3、增强了合规性。软件供应链安全检测服务平台可以帮助开发团队检查软件是否符合相关法律法规和行业标准，确保软件的合规性。

总之，软件供应链安全检测是一种对软件开发和发布过程中的安全漏洞、恶意行为和合规性问题进行检测和防范的手段。对于提高软件安全性、降低风险和损失具有重要意义。

再次，奉上平台地址：https://www.sscssc.cn。